Grupo de amenazas FLUXROOT
Se ha detectado que un grupo con motivación financiera con sede en América Latina (LATAM), conocido como FLUXROOT, utiliza los proyectos sin servidor de Google Cloud para realizar campañas de phishing de credenciales. Esta situación pone de relieve cómo los modelos de computación en la nube pueden explotarse para actividades amenazantes. Los desarrolladores y las empresas prefieren las arquitecturas sin servidor debido a su flexibilidad, rentabilidad y facilidad de uso. Sin embargo, estas mismas ventajas también hacen que los servicios informáticos sin servidor sean atractivos para los ciberdelincuentes. Aprovechan estas plataformas para distribuir y administrar malware, alojar sitios de phishing y ejecutar scripts fraudulentos diseñados específicamente para entornos sin servidor.
Tabla de contenido
FLUXROOT ataca a los usuarios con troyanos bancarios
La campaña utilizó URL de contenedores de Google Cloud para alojar páginas de phishing de credenciales, dirigidas a las credenciales de inicio de sesión de Mercado Pago, una plataforma de pagos en línea ampliamente utilizada en la región de LATAM. Según Google, FLUXROOT es el actor de amenazas detrás de esta campaña, anteriormente conocido por difundir el troyano bancario Grandoreiro . Las actividades recientes de FLUXROOT también han implicado la explotación de servicios legítimos en la nube, como Microsoft Azure y Dropbox, para distribuir su malware.
Los ciberdelincuentes aprovechan los servicios en la nube para difundir malware
En un caso separado, PINEAPPLE, otro actor de amenazas, aprovechó la infraestructura de la nube de Google para distribuir el malware ladrón Astaroth (también conocido como Guildma) en ataques dirigidos a usuarios brasileños.
PINEAPPLE comprometió instancias de Google Cloud y creó sus propios proyectos de Google Cloud para generar URL de contenedores en dominios legítimos sin servidor de Google Cloud como cloudfunctions.net y run.app. Estas URL albergaban páginas de destino que redireccionaban a los objetivos a infraestructuras fraudulentas para distribuir el malware Astaroth.
Además, PINEAPPLE intentó evadir las defensas de la puerta de enlace de correo electrónico mediante el uso de servicios de reenvío de correo que permiten el paso de mensajes con registros fallidos del Marco de políticas del remitente (SPF). También manipularon el campo Ruta de retorno SMTP con datos inesperados para activar tiempos de espera de solicitud de DNS, lo que provocó que fallaran las comprobaciones de autenticación de correo electrónico.
Los delincuentes se aprovechan de servicios legítimos con fines perjudiciales
Para abordar estas amenazas, Google ha tomado medidas para mitigar las actividades cerrando proyectos inseguros de Google Cloud y actualizando las listas de Navegación segura.
Desafortunadamente, la mayor variedad de servicios en la nube en diversas industrias ha permitido que los actores de amenazas exploten estas plataformas con fines malintencionados, incluida la minería ilícita de criptomonedas debido a configuraciones débiles y ataques de ransomware.
Esta explotación se ve facilitada aún más por el hecho de que los servicios en la nube permiten a los adversarios combinar sus actividades con las operaciones normales de la red, lo que dificulta significativamente la detección.
Los actores de amenazas aprovechan la flexibilidad y la facilidad de implementación de las plataformas sin servidor para distribuir malware y alojar páginas de phishing. A medida que los defensores implementan medidas de detección y mitigación, los adversarios adaptan continuamente sus tácticas para evadir estas defensas.
